Normenkader betrouwbaarheidsniveaus
Afsprakenstelsel | Document | |||
|---|---|---|---|---|
Versie | AS1.24a-Ondersteuning Restgroepen (TRR) voor intermediairs | Auteur | Beheerorganisatie | |
Datum vaststelling |
| Classificatie | Openbaar | |
Datum publicatie | Status | Definitief | ||
Beschrijft de wijze waarop middelen en machtigingen geclassificeerd worden op betrouwbaarheidsniveau en de normen die daarbij worden toegepast.
Inhoudsopgave
eIDAS
Dit normenkader volgt in Technische specificaties, procedures voor uitgifte van middelen en eisen voor het authenticatiemechanisme de paragraaf-indeling van de Europese eIDAS uitvoeringsverordening EU 2015/1502. De reden is dat deze structuur het vergemakkelijkt om aan te tonen dat het afsprakenstelsel voldoet aan de in Europees verband gestelde normering. De Uitvoeringsverordening bevat het Europese framework van eisen voor de aanbieders van authenticatiediensten en de betrouwbaarheid van de ingezette middelen en bijbehorend authenticatiemechanisme. Onderdeel van het Europese framework zijn ook eisen voor onderwerpen zoals privacy, aansprakelijkheid of gebruiksvoorwaarden etc. die in andere delen van het afsprakenstelsel Elektronische Toegangsdiensten zijn uitgewerkt zoals het hoofdstuk Juridica en het Operationeel handboek. Het uitgangspunt van het afsprakenstelsel is om eisen slechts op één plaats vast te leggen. Daar waar dat van met het oog op de oorspronkelijke eIDAS eis belang is, wordt in dit Normenkader Betrouwbaarheidsniveaus dus naar andere delen van het afsprakenstelsel verwezen.
Het eIDAS framework heeft een tweetal specifieke subparagrafen opgenomen die betrekking hebben op uitgifte van middelen aan rechtspersonen. Nieuw is daarom ten opzichte van de vorige versie van dit normenkader dat een deel van de eisen voor Machtigingenregisters die betrekking hebben op de identificatie van rechtspersonen en registreren van bevoegdheden van het hoofdstuk machtigingen zijn verplaatst naar het Technische specificaties, procedures voor uitgifte van middelen en eisen voor het authenticatiemechanisme. Het resterende hoofdstuk voor eisen aan Machtigingenregister heet nu Specificaties voor het beheer van bevoegdheden.
Mapping Levels of Assurance (LoA)
Het eIDAS framework gebruikt andere terminologie voor de aanduiding van betrouwbaarheidsniveaus dan het afsprakenstelsel. Hieronder wordt daarom aangegeven hoe betrouwbaarheidsniveaus zich tot elkaar verhouden.
ETD LoA | eIDAS | |
|---|---|---|
1 | Niet bestaand | Non existent |
2 | Laag | Low |
2+ | Laag | Low |
3 | Substantieel | Substantial |
4 | Hoog | High |
Gezaghebbende bron
Op basis van een gezaghebbende bron kan op betrouwbare wijze een identiteit worden aangetoond. Hierin maken we onderscheid in gezaghebbende bronnen voor een natuurlijk persoon, een rechtspersoon of een beroepsregistratie. De hier vermelde bronnen worden gezien als een gezaghebbende bron en kunnen ingezet worden voor de vaststelling van een identiteit.
Gezaghebbende bronnen | Bewijs |
|---|---|
Gezaghebbende bronnen voor het identificeren van een natuurlijk persoon Nederlandse Basisregistratie Personen (BRP) of de basisregistratie personen van het land van herkomst natuurlijk persoon. | Bewijs van registratie kan in de vorm van:
Voor identificatie op afstand (IoA) worden er specifieke eisen gesteld aan de identiteitsbewijzen die daarvoor ingezet mogen worden. |
Gezaghebbende bronnen voor het identificeren van een rechtspersoon Nederlandse Handelsregister of het handelsregister van het land van inschrijving rechtspersoon. | Bewijs van inschrijving kan in de vorm van een uittreksel vanuit het:
|
Gezaghebbende bronnen voor het identificeren van een beroepsregistratie Er zijn nog geen gezaghebbende bronnen aangewezen voor een beroepsregistratie. |
Leeswijzer
Het normenkader betrouwbaarheidsniveaus is verdeeld over een aantal kolommen. De betekenis van deze kolommen is:
Norm: het nummer van de norm, overeenkomstig de Europese eIDAS uitvoeringsverordening EU 2015/1502.
LoA: Level of Assurance, het betreffende van toepassing zijnde betrouwbaarheidsniveau.
Vereiste elementen, hier MOET aan voldaan worden.
Toelichting en good practice, hier MAG aan voldaan worden.
De eisen in dit normenkader zijn 'gestapeld'. Dat betekent dat eisen op een lager betrouwbaarheidsniveau van toepassing zijn op hogere betrouwbaarheidsniveaus tenzij anders is aangegeven.
Technische specificaties, procedures voor uitgifte van middelen en eisen voor het authenticatiemechanisme,paragraaf 2.1.1 en 2.1.2 hebben betrekking op de registratie en identificatie van natuurlijke personen. De paragrafen 2.1.3 en 2.1.4 hebben betrekking op het registratie en identificatie van rechtspersonen en beroepsbeoefenaren. Daar waar in het kader van registratie van de rechtspersoon een vertegenwoordiger van die rechtspersoon als individu moet worden geïdentificeerd wordt verwezen naar de eisen voor identificatie van natuurlijke personen.
De overige paragrafen behandelen de (technische) kwaliteiten van middelen, het uitgifteproces, eisen aan beveiliging, organisatie en compliance.
Vereisten voor de kwaliteit van registratie van machtigingen bevat de specificaties voor het beheer van bevoegdheden (machtigingen) van natuurlijke personen die namens een rechtspersoon optreden.Eisen voor geldigheid van verklaringen voor Dienstverleners bevat de specificaties voor de geldigheid van verklaringen die aan Dienstverleners worden verstrekt.